search

jeecgboot / JimuReport

「可视化报表、仪表盘、大屏」积木报表是一款类Excel操作风格,在线拖拽设计的报表工具。功能涵盖: 报表设计、打印设计、图形报表、仪表盘门户设计、大屏设计等,完全免费!秉承“简单、易用、专业”的产品理念,极大的降低报表开发难度、缩短开发周期、解决各类报表难题。
http://jimureport.com
GNU General Public License v3.0
6.45k stars 1.65k forks source link

积木报表软件存在AviatorScript代码注入RCE漏洞 #2848

Closed fallingskies22 closed 2 months ago

fallingskies22 commented 3 months ago
版本号:

v1.7.8

问题描述:

积木报表软件存在AviatorScript代码注入RCE漏洞

使用接口/jmreport/save处在text中写入AviatorScript表达式 访问/jmreport/show触发AviatorScript解析从而导致命令执行。

错误截图:

访问官网,创建报表,在报表表格中写入AviatorScript表达式 image

访问创建的报表 image

触发命令执行,获取官网服务器权限 image

image

image

友情提示:

jeecgos commented 3 months ago

cr

hoperunChen commented 2 months ago

已修复,待新版本发布。